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(57) Abstract 



The invention relates to a method for programming a safety control system with centralized and/or decentralized stations. So as to 
simplify programming while guaranteeing greater security, safety-oriented control-technical rules for connecting input and output signals 
are stored in the form of software macros in a centralized or decentralized station (12-20) of the control system. Instructions are transmitted 
via a programming apparatus to the central or decentralized station, via which instruction sequences configured in the software macros are 
called up for assigning input and output information. 

(57) Zusammenfassung 

Die Erfindung bezieht sich auf ein Verfahren zur Programmierung eines sicherheitsgerichteten Steuerungssystems mit zentralen 
und/oder dezentralen Stationen. Um die Programmierung einerseits zu vereinfachen und andererseits eine hohere Sicherheit zu gewahrleisten, 
ist vorgesehen, dass sicherheitsgerichtete steuerungstechnische Regeln zur Verkntipfung von Ein- und Ausgangssignalen in Form von 
Software-Makros in einer zentralen oder dezentralen Station (12-20) des Steuerungssystems abgelegt sind, wobei tlber ein Programmiergerat 
Befehle an die zentrale oder dezentrale Station ubertragen werden, Ober die in den Software-Makros zusammengestellte Befehlsfolgen zur 
Zuweisung von Ein- und Ausgangsinformationen aufgerufen werden. 
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Beschreibung 



Verfahren zur Pro grammieru n g eines sicherheitsgerichteten Steuerungs systems 

Die Erfindung bezieht sich auf ein Verfahren zur Programmierung eines sicherheits- 
gerichteten Steuerungssystems mit zentralen und/oder dezentralen Stationen. 

Sicherheitsgerichtete Steuerungssysteme werden nach dem Stand der Technik derart pro- 
grammiert, dass logische Verkniipfungen in einem externen Programmiergerat wie 
handelsublichem Personalcomputer eingegeben und mit einem unter anderem sicher- 
heitstechnische Funktionen ausfiihrenden Ablaufprogramm zusammengefuhrt (compi- 
liert) werden. AnschlieBend wird das Programm uber eine Schnittstelle dem sicherheits- 
gerichteten Steuerungssystem iibertragen. 

Da ein handelsiiblicher PC jedoch uber keine besonderen sicherheitstechnischen Merk- 
male verfugt, muss die Programmierung, die uber diesen PC erfolgt, im Rahmen eines 
Abnahmetests der Steuerung uberpriift werden. Insbesondere muss jede sicherheits- 
gerichtete Funktion auf ihre ordnungsgemaBe Funktion getestet werden. 

Bei einer Progammierung mit handelsublichem PC kann das Problem auftreten, dass 
durch das Programmiergerat verursachte Fehler oder durch die Ubertragung des Pro- 
gramms zu dem Steuerungssystem verursachte Fehler die programmierten logischen 
Verkniipfungen beeintrachtigen, wodurch sicherheitsrelevante Steuerungsregeln ver- 
iindert werden, was sich auf die Sicherheit des Steuerungssystems auswirken kann. 
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Wird der vorgenannte Abnahmetest entsprechend den Voirschriften durchgefuhrt, 
entstehen hohe Aufwendungen, da z. B. jedes Not-Aus-Befehlsgerat u. a. Signalgeber 
funktionell getestet werden miissen, wobei zusatzliche Abhangigkeiten und Nicht- 
Abhangigkeiten zwischen den verschiedenen Schutzeinrichtungen zu beriicksichtigen 
sind. Wird dieser Aufwand nicht oder nur unzulanglich betrieben, entstehen funktionelle 
Sicherheitsrisiken. 

Der vorliegenden Erfindung liegt das Problem zu Grunde, ein Programmierverfahren fur 
sicherheitsgerichtete Steuerungssysteme zur Verfiigung zu stellen, durch das die Pro- 
grammierung einerseits vereinfacht und andererseits eine hohere Sicherheit gewahrleistet 
ist. 

Das Problem wird dadurch gelost, dass sicherheitsgerichtete steuerungstechnische 
Regeln zur Verknupfung von Ein- und Ausgangssignalen in Form von Software-Makros 
in einer zentralen oder dezentralen Station des Steuerungssystems abgelegt sind, wobei 
uber ein Programmiergerat Befehle an die zentrale oder dezentrale Station iibertragen 
werden, uber die in den Software-Makros zusammengestellte Befehlsfolgen zur Zuwei- 
sung von Ein- und Ausgangsinformationen aufgerufen werden. 

Unter Software-Makros sind Befehlsfolgen zur Zuweisung von Ein- und Ausgangs- 
informationen zu verstehen. Das handelsiibliche Programmiergerat dient in diesem Falle 
lediglich dazu, die Eingangs- und Ausgangsparameter des Software-Makros zu definie- 
ren/zu bestimmen, wahrend die logische Verknupfung der sicherheitstechnischen 
Bedingungen bereits im Softwaie-Makro des sicherheitsgerichteten Steuerungssystems 
hinterlegt ist. 

Auf diese Weise wird eine Entkopplung von sicherheitsgerichtetem Steuerungssystem 
und handelsiiblichem PC erreicht. Die Betriebs-Software eines handelsublichen PC's 
mit RS 232-Schnittstelle, die regelmaBig uber keinerlei sicherheitsgerichtete Eigen- 

* • 

schaften, wie Redundanz, Testverfahren usw. verfiigt, dient also lediglich der Uber- 
tragung der gewunschten steueiungstechnischen Parameter an das jeweilige in der 
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Station gespeicherte Makro, d. h. Gefahren durch Ausfalle oder Storungen im PC 
konnen somit nicht in die in den Software-Makros hinterlegten Befehlsfolgen zur 
Zuweisung von Ein- und Ausgangsinformationen gelangen. 

Die Software-Makros werden in einer Bus-Master-Station, vorzugsweise Bus-Anfangs- 
Station hinterlegt. Die hinterlegten Makro-Befehle sind so beschaffen, dass Fehler 
ausgeschlossen werden konnen, indem diese relativ kleinen Programmteile einmalig 
einer 100%igen Priifung im Sinne von Simulation und Testverfahren unterzogen 
werden. 

Bei einer besonders bevorzugten Verfahrensweise ist vorgesehen, dass eine Zuweisung 
von Ein- und Ausgangsinformationen iiber die Parameter erfolgt, die von dem Program- 
mierserat an die Software-Makros aufweisende Station ubertragen werden und dass die 
Verifizierung des sicherheitsgerichteten Steuerungsprogramms durch ein Rucklesen der 
programmierten Parameter, vorzugsweise Ein-/Ausgangsparameter und ihrer Ruckbesta- 
tigung am Dateneingabegerat erfolgt. 

In den Software-Makros ist die gewunschte funktionelle Wirkung bestimmter hardware- 
und/oder softwaremaBiger Eingangs- und/oder Ausgangskonfigurationen hinterlegt, z. B. 
die Funktion der Oberwachung einer beweglichen Schutzeinrichtung an Maschinen mit 
gefahr-bringenden Bewegungen, d. h. eine gefahrbringende Bewegung (ein Ausgang fur 
einen Antrieb) kann erst eingeleitet (eingeschaltet) werden, wenn zwei Uberwachungs- 
kontakte, die die Stellung der Schutzeinrichtung detektieren, geschlossen sind. Offnet 
einer der beiden Kontakte, wird der Ausgang der gefahrbringenden Bewegung abge- 
schaltet. Ist mindestens einer von beiden Kontakten nicht geschlossen, kann keine 
Freigabe einer gefahrbringenden Bewegung eingeleitet werden. 

Uber das handelsiibliche Programmiergerat wird lediglich bestimmt, welche hardware- 
und/oder softwaremaBigen Eingange und welche hardware- und/oder softwaremaBigen 
Auseanse im Sinne einer Zuordnuna, z. B. Klemmenzuordnung, in der gewunschten 
Funktion involviert und einander zugeordnet sein sollen. 
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In Bezug auf die Programmierung mit einem handelsiiblichen PC verbleibt mithin 
lediglich das Risiko, dass die Ubertragung der Ein-/Ausgangsparameter in Richtung 
Software-Makros fehlerbehaftet sein konnte. Anstelle eines Abnahmetests geniigt es im 
vorliegenden Falle aber, dass die Ein-/Ausgabeparameter auf Richtigkeit nur im Rahmen 
eines Riicklesens uberpriift und riickbestatigt werden mussen. 

Zur Erzeugung der Parameter sind sogenannte Parametrier-Masken vorgesehen, iiber die 
eine steuerungstechnsiche Verknupfung von Ein- und/oder Ausgangssignalen erfolgt. 

Vorzugsweise erfolgt die Dateniibertragung zwischen der oder den Stationen und dem 
Programmiergerat iiber eine RS-232-Schnittstelle. 

Weitere Einzelheiten, Vorteile und Merkmale der Erfindung ergeben sich nicht nur aus 
den Anspriichen, den diesen zu entnehmenden Merkmalen - fur sich und/oder in 
Kombination sondern auch aus der nachfolgenden Beschreibung eines der Zeichnung 
zu entnehmenden Ausfuhrungsbeispiels. 



Es zeisen: 



Fig. 1 



prinzipieller Aufbau eines Sicherheitsbussystems, 



1 - 



prinzipieller Aufbau einer Master-Station mit zwei Kanalen, 



Fie. 3 



Schaltungsanordnung eines ersten Kanals der Master-Station gemaB Fig. 



Fig. 4 



prinzipieller Aufbau einer Ein- und/oder Ausgangs-Station, 



Fig. 5 



prinzipieller Aufbau einer Bus-Abschluss-Station, 
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Fig. 6-10 Darstellungen von Programmiermasken, 
Fig. 1 1 logischer Aufbau einer Abschalttabelle. 

Fig. 1 zeigt ein sicherheitsgerichtetes Steuerungssystem 10, das in dem hier dargestell- 
ten Ausfuhrungsbeispiel als strangformiges Bussystem ausgebildet wird. Das Bussystem 
weist eine Vielzahl von miteinander in Verbindung stehender Ein- und/oder Ausgange 
aufweisender zentraler und/oder dezentraler Stationen 12, 14,16 ,18, 20 auf. Dabei ist 
eine erste Station 12 als Bus-Anfangsstation bzw. als Bus-Master mit einem Busan- 
schluss 22 und eine letzte Station 20 als Bus-Abschluss-Station mit einem Buseingang 
24 ausgebildet. Die weiteren Stationen 14, 16, 18 besitzen jeweils einen Buseingang 26, 
28, 30 und einen Busausgang 32, 34, 36. Zwischen einem Busausgang 22, 32, 34, 36 
einer Bus-Station und einem Buseingang 26, 28, 30 ist jeweils eine einkanalige Buslei- 
tung 38, 40, 42, 44 angeordnet. Auf diese Weise kann das Bussystem 10 einen Strang 
mit bis zu 64 Stationen aufweisen. 

Das Ubertragungsmedium bzw. die einkanalige Busleitung 38, 40, 42, 44 besteht aus 
einer Datenleitung 46 und einer Energieversorgungsleitung 48. Dabei sind sowohl die 
Datenleitung als auch die Energieversorgungsleitung zweiadrig ausgebildet. 

Zur Enerdeversorsuns ist der Bus-Master 1 2 iiber eine Zuleitung 50 mit einem Trans- 
formator 52 verbunden, der seinerseits mit Netzspannung verbunden ist und eine beruh- 
rungssichere Versorgungswechselspannung von vorzugsweise 42 V AC zur Verfugung 
stellt. Sowohl die Datenleitung 46 als auch die Energieversorgungsleitung 48 werden 
innerhalb der die Busein- und -ausgange 26, 32; 28, 34; 30, 36 aufweisenden Stationen 
intern durchgeschliffen. Grundsatzlich weist jede Station 12, 14, 16, 18, 20 des Bussy- 
stems 10 zwei voneinander unabhangige Teilsysteme bzw. Knoten A, B auf, die im 
Folgenden als Kanal A und Kanal B bezeichnet werden. Durch die zweikanalige 
Ausbildung wird ein redundantes System aufgebaut. Dabei hat jeder Kanal A, B 
innerhalb der Station 12-20 die Moglichkeit, selbstandig auf den Bus 38 - 44 zuzu- 
»reifen. Mit anderen Worten arbeitet jeder Kanal A, B nach dem Multi-Master-Prinzip 
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selbstandig. Grundsatzlich weisen die Stationen 12 - 20 einen im wesentlichen identi- 
schen Hardware-Aufbau auf. 

In Fig. 2 ist der Aufbau des Bus-Masters 12 dargestellt. Die Kanale A und B weisen 
jeweils ein Netzteil 54, 56 auf, das eingangsseitig mit der Vorsorgungsleitung 50 
verbunden sind. Ein erster Ausgang 58, 60 des Netzteils 54, 56 ist mit einer program- 
mierbaren Steuereinheit 62, 64 wie Mikrocomputer verbunden. Die Mikrocomputer 62, 
64 sind uber Leitungen 66, 68 mit Bus-Controlern 70, 72 verbunden, die uber weitere 
Leitungen 74, 76 mit Buskopplern 78, 80 mit der Bus-Datenleitung 46 verbunden sind. 
Die Buskoppler 78, 80 weisen eine separate Spannungsversorgung auf und sind mit 
einem zweiten Ausgang 82, 84 des Netzteils 54, 56 verbunden. 

Uber eine Verbindungsleitung bzw. einen Link 86 zwischen den Mikrocomputern 62, 
64 erfolgt ein Datenaustausch zwischen den Kanalen A und B zur gegenseitigen 
Uberprufung. Dabei handelt es sich um eine galvanisch entkoppelte, serielle Schnitt- 
stelle. Des Weiteren sind in den Mikrocomputern 62, 64 serielle Schnittstellen 88, 90 
wie RS 232- oder CAN-Schnittstelle vorgesehen, die uber jeweils eine Verbindungs- 
leitung mit einer Ausgangsebene 92 des Kanals B und mit einer Ausgangsebene 94 des 
Kanals A verbunden sind, um eine Verbindung zu einem externen Prorammiergerat wie 
Personalcomputer zur Programmierung des Bussystems herzustellen. Auch konnen 
weitere Schnittstellen zur Ankopplung an andere Busebenen vorgesehen sein. Die 
Ausgangsebenen 92, 94 weisen jeweils bis zu acht Halbleiterausgange auf. 

In Fig. 3 ist eine Schaltungsanordnung des Kanals A der Master-Station 12 gemaB Fig. 
2 im Detail dargestellt. Dabei weist der Kanal A einen an sich nach dem Stand der 
Technik typischen Schaltungaufbau auf. Das Netzteil 56 umfasst zwei Transformatoren 
96, 98, deren Primarwicklungen 100, 102 primarseitig in Reihe an Versorgungsspan- 
nune liesen. Die Transformatoren 96, 98 weisen jeweils eine Sekundarwicklung 104, 
106 auf, die jeweils Uber einen Gleichrichter 108, 110 und uber einen Spannungsregler 
112, 114 eine geregelte Ausgangsspannung einerseits fur den Mikrocomputer 64 und 
andererseits fiir den Buskoppler 80 zur Verfugung stellen. Der Mikrocomputer 64 weist 
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zudem externe Speicherbausteine 116, 118 wie RAM und ROM auf sowie einen 
Watchdog 120. Die beiden Mikrocomputer 62, 64 der Master-Station 12 konnen 
unabhangig voneinander auf den Bus 38, 40, 42, 44 iiber jeweils den Buskoppler 78, 80 
zugreifen. Uber den Link 86 ist ein Datenaustausch fur Kontrollzwecke moglich. Die 
Verbindung ist optoelektronisch entkoppelt. 

Duich den zentralen Leistungstransformator 52 wird die Netzspannung von U N = 230 
V AC auf eine Versorgungsspannung U v = 42 V AC transformiert. Die Versorgungs- 
spannung U v liegt am Eingang des Netzteils 54, 56 an und ist mit den Eingangswick- 
lungen der Transformatoren 96, 98 verbunden. An den Ausgangswicklungen 104, 106 
liegt eine Spannung von ca. 8 V AC an, die uber den Gleichrichter 108, 110 und 
zugeordnete Spannungsregeler 112, 1 14 auf ca. 5 V begrenzt wird. Die Spannung wird 
mit Hilfe des Watchdog 120 uberwacht. 

Der ROM-Baustein 118 dient zur Speicherung von Firmware. Der ROM-Baustein 118 
ist als EPROM ausgebildet und wird mit Hilfe einer Checksummenbildung 16 Bit 
(CRC-Check) zyklisch uberpruft. Anwenderspezifische Daten werden in einem Flash- 
EPROM gespeichert. Die Programmierung des Flash-EPROMS erfolgt uber die serielle 
Schnittstelle 90. Mit Hilfe eines Schalters und verschiedener Sicherungsmechanismen 
konnen die Anwenderdaten ubernommen werden. Die Prufung des Flash-EPROMS 
erfolst mit Hilfe des oben beschriebenen CRC-Check. 

Das externe RAM 116 ist zusatzlich zu einem prozessorinternen RAM vorgesehen. 
Dieser RAM-Baustein 1 16 beinhaltet eine RTC (Real Time Clock). Fur den Mikrocom- 
puter 62 ist ebenfalls ein externes RAM vorgesehen, das allerdings keine RTC aufweist. 

Fig. 4 zeigt beispielhaft den Aufbau einer der Stationen 14, 16, 18. Die Stationen 14, 
16, 18 weisen im wesentlichen den gleichen internen Aufbau auf wie die Master-Station 
12. Ein wesentlicher Unterschied besteht in der Ausbildung einer Ein- und/oder Aus- 
gangsebene 124, 122. So kann die Bus-Station als Bus-Ausgangsstation mit bis zu acht 
Halbleiterausgangen oder als Bus-Eingangsstation mit Halbleiterausgangen ausgebildet 
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sein, an der ein bis vier Not-Aus-Taster oder wahlweise ein bis acht Befehlsgerate wie 
Verriegelungs oder Entriegelungsgerate angeschlossen sind. Die Kontaktelemente 
werden dabei an eine Klemme gelegt und intern - iiber Optokoppler getrennt - mit den 
Eingangen der beiden Mikxocomputersysteme verbunden. Zur Uberpriifung der Leitun- 
gen auf Querschluss werden zur Testung die Leitungen periodisch mit Signalen beauf- 
schlagt. 

In Fig. 5 ist ein Aufbau der Bus-Abschluss-Station 20 dargestellt. Im Unterschied zu 
den Bus-Stationen 14, 16, 18 weist die Bus-Abschluss-Station nur den Buseingang 24 
und keinen weiteren Busausgang auf. Die Bus-Abschluss-Station 20 kahn ebenfalls iiber 
Ein- und/oder Ausgange 126, 128 verfiigen, die jeweils einem Kanal A oder B zugeord- 
net sind. Die technische Funktion der Bus-Abschluss-Station 20 soil spater erlautert 
werden. 

Insbesondere ist darauf hinzuweisen, dass die Hardware dahingehend konzipiert ist, 
moglichst Fehler zu vermeiden. Aus diesem Grunde wurden in die Stationen 12-20 
jeweils zwei unabhangige Kanale bzw. Funktionseinheiten A und B zur Ausfuhrung von 
spezifizierten Funktionen integriert. Die Kanale A und B sind gleich d. h. homogen 
redundant. Die von beiden Kanalen verwendeten bzw. erzeugten Signale werden zum 
Zwecke der Fehlererkennung standig miteiander verglichen (Vergleich von relevanten 
Ein- und/oder Ausgangssignalen). In diesem Zusammenhang ist insbesondere auf die 
ubergeordnete Relaisebene (Fail-Safe- Vergleiche), den internen gegenseitigen Vergleich 
iiber den Link 86 sowie auf einen externen Vergleich der Eingabedaten durch den 
Anwender hinzuweisen. 

Der RAM-Baustein 116 wird mit Hilfe eines Software-Tests gepriift, wohingegen sich 
die Testung des ROM-Bausteins 118 auf die Signaturbildung beider Bausteine und 
deren Vergleich beschrankt. 

Durch die Verwendung teildiversitarer Mikrocomputer (Mikrocomputer, die den 
gleichen Befehlssatz aufweisen, aber intern unterschiedliche Hardware-Strukturen 
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haben), konnen zum Teil systematische Hardwarefehler aufgedeckt werden. Ungeachtet 
dessen fiihren die Mikrocomputer beider Kanale einer Station standig Selbsttestfunktio- 
nen im Hintergrund aus. 

ErfindungsgemaB unterliegt die Kommunikation zwischen der Bus-Anfangsstation bzw. 
dem Bus-Master 12 und der Bus-Abschluss-Station 20 zeitbedingten Informationen. Ein 
Ausbleiben einer Nachricht innerhalb eines definierten Zeitfensters, z. B. 15 ms, fuhrt 
zur Gesamtabschaltung des Systems. Alternativ besteht auch die Moglichkeit, zeitbe- 
dingte Informationen nicht nur zwischen dem Master und der Bus-Abschluss-Station 20 
sondern zwischen einer Vielzahl von intelligenten Busteilnehmern 14, 16, 18 auszutau- 
schen. Dieser zeitkritische Informationsaustausch beschrankt sich nicht nur auf Bus- 
Master 12 und Bus-Abschluss-Station 20. 

Durch diese MaBnahme wird gewahrleistet, dass eine Unterbrechung einer Bus-Leitung 
38 - 44 innerhalb von ca. 15 ms detektiert werden kann. Der Nachrichteninhalt unter- 
liegt einem zeitlichen Wechsel (Hoehzahlverfahren). Mit dieser MaBnahme wird verhin- 
dert, dass ein anderer Teilnehmer innerhalb des Bussystems die Nachricht des Masters 
oder Bus-Abschlusses simulieren kann. 

Eine Unterbrechung innerhalb einer Station kann sich gemaB den iiblichen Fehlerbetra- 
chungsweisen und entsprechend dem Leiterplatten-Layout nur auf einen Kanal aus- 
wirken. Somit wird fur diese Fehlerart die Zweitfehlereintrittszeit zu Grunde gelegt. Aus 
dieser Uberlegung ergibt sich die Notwendigkeit, dass sich alle Kanale in jeder Station 
(ausgenommen Master 12 und Bus-Abschluss-Station 20) je nach sicherheitstechnischen 
Anforderungen zum Beispiel innerhalb einer Stunde melden mussten. Auf diese Weise 
kann die Bus-Auslastung auf ein MaB reduziert werden, das den Anforderungen 
hinsichtlich der Verfugbarkeit genugt. 

Im Folgenden soil die dem Bus-Systems 10 zu Grunde liegende Anwender-Software 
erlautert werden. Einem Anwender wird die Moglichkeit gegeben, das Steuerungssystem 
seinen Gegebenheiten anzupassen. Mit Hilfe einer menugesteuerten Software kann der 
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Anwender den Stationen 12-20 Ein- und/oder Ausgange zuordnen. Diese Konfigura- 
tionssoftware kann auf jedem IBM-kompatiblen System installiert werden, welches zum 
Beispiel iiber das Betriebssystem MS-DOS verfiigt. Die Zuordnung von Ein- und 
Ausgangsebenen erfolgt in einer matrix-ahnlichen Form. 

ErfindungsgemaB werden dem Anwender Funktionsblocke angezeigt, ohne dass dieser 
selbst Zugriff auf die logischen Funktionen dieser Blocke hat. Funktionsblocke um- 
fassen zum Beispiel die Parametrierung handelsiiblicher Schutzeinrichtungen, z. B. 
Tiirzuhaltungen, Not-Aus-Befehlseinrichtungen und ahnliches, aber auch - fur spezielle 
Schutzfunktionen - die Programmierung logischer Funktionen wie UND, ODER, 
NICHT. Die logischen Funktionen sind nicht im Programmiergerat wie PC abgelegt, 
sondern im Programmiergerat werden lediglich der Name des Funktionsblockes z. B. 
Turzuhaltung, dessen Nummer, Optionen, Eingangsklemmennummern, Ausgangs- 
klemmennummern und Kommentare abgelegt. Die eigentlichen logischen Bestandteile, 
die in einem Relaisbaustein durch die interene Verdrahtung realisiert sind, liegen als 
Makro in dem Speicherbaustein 118 wie EPROM ab. Der Speicherbaustein ist z, B. 
Bestandteil des Bus-Masters 12. 

Der Anwender kann aus dem Programmiergerat uber die serielle Schnittstelle 90 Daten 
an z. B. den Bus-Master 12 iibertragen. Um dem Anwender die Moglichkeit zu eroff- 
nen ? eigene nicht sicherheitsrelevante Aktoren/Sensoren in das System einzubringen, 
sind zusatzliche Makros mit einfachen logischen Funktionen wie "UND", "ODER" und 
"NICHT" vorgesehen, die nur auf einen fest vorgegebenen Ausgangsbereich wirken 
durfen. Mit diesen Funktionen kann der Anwender einen Eihgangsbereich nutzen, 
diesem logische Funktionen zuordnen und auf vorgegebene Ausgange wirken lassen. Da 
die logischen Funktionen dieser Makros nur im Bus-Master 12 abgelegt sind und der 
Eingangsvariablensatz auf einen Adresbsereich beschrankt wurde und nur vordefinierte 
Ausgange benutzt werden dtirfen, kann der Anwender keinen Einfluss auf den sicher- 
heitstechnischen Prograrnmteil des Datensatzes nehmen. Die beschriebenen Moglich- 
keiten bleiben dem Einrichter durch einen Passwortschutz vorbehalten. 
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In den Fig. 6-10 sind beispielhaft Programmiermasken dargestellt, iiber die das System 
programmierbar ist. Mit Hilfe einer Maske Ml wird festgelegt, an welcher Stelle sich 
die jeweiligen Stationen 12 - 20 im Bus-System 10 befinden sollen. Im dargestellten 
Ausfiihrungsbeispiel liegt eine maximale Ausbaumoglichkeit bei 64 Bus-Stationen. 
Dabei ist vorgesehen, dass der Bus-Master 12 und die Bus-Abschluss-Station 20 bereits 
fest vorgegeben sind. 

Fig. 7 zeigt eine Maske M2 fur ein Not-Aus-Modul. Die Maske M2 weist ein Feld "Be- 
zeichnung" auf, in das ein frei wahlbarer Name eingetragen werden kann. Ferner ist ein 
Feld "Kanal 1" /"Kanal 2" vorgesehen, in das eine Klemmenbezeichnung des aufgeleg- 
ten Kontaktes eingetragen wird. Des Weiteren ist ein Feld "Start" vorgesehen, das die 
Klemme eines Start-Tasters beschreibt. Das Feld "Zusatzbed." kann z. B. einen Riick- 
fiihrkreis darstellen. In einem Feld "Freigabe" wird der gewiinschte Ausgang bei 
Erfullung aller Bedingungen gesetzt. Es wird eine weitere abfallverzogerte Freigabe in 
einem Feld "verzogert" zur Verfiigung gestellt. Die Verzogerungszeit ist dabei einstell- 
bar. Die Startbedingung kann iiber eine abfallende Flanke automatisch oder mit an- 
steigender Flanke erfolgen. Im Rahmen anderen Anwendungen konnte je nach si- 
cherheitstechnischen Rahmenbedingungen auch ein automatischer Start vorgegeben sein. 

In Fig. 8 ist eine Maske M3 fur ein Verriegelungseinrichtungsmodul dargestellt, die im 
wesentlichen den Aufbau wie die Maske M2 gemaB Fig. 7 aufweist. 

In Fig. 9 ist eine Maske M4 dargestellt, die ein Losik-Modul darstellt. Mit Hilfe dieser 
Maske M4 konnen Eingange oder Merker verkniipft werden. Dazu stehen die logischen 
Verknupfungen "UND, ODER, NOR oder NAND" zur Verfiigung. Durch Kombination 
verschiedener logischer Ausdriicke konnen alle logischen Funktionen programmiert 
werden. 

Fig. 10 zeigt eine Maske M5 eines Kontaktvervielfaltigungs-Moduls. In einem Feld 
"Eingang" kann z. B. ein Ausgang eines Not-Aus-Moduls eingesetzt werden, so dass ein 
Eingang auf mehrere Ausgange wirken kann. Des Weiteren sind Felder "Kanal 1 bis 8" 
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vorgesehen, in die nur freie Ausgange eingesetzt werden konnen, die sich Equivalent 
dem "Master-Eingang" verhalten. 

Insgesamt wird eine benutzerfreundliche Oberflache zur Anwenderprogrammierung 
geschaffen. Die Software wird mit Hilfe automatischer Kontrollprogramme auf die 
Einhaltung selbst erstellter Richtlinien uberpruft. Da erfindungsgemaB Software-Module 
als Makros im Bus-Master 12 abgelegt sind, sind diese einfach zu priifen und gegebe- 
nenfalls fur Erweiterungszwecke leicht zu andern, da anstelle eines miteinander und/- 
oder untereinander verknupften Gesamt-Ablaufprogramms in sich abgeschlossene, 
vergleichsweise kleine und uberschaubar verifizierbare Blocke (Makros) das Gesamt- 
programm bilden. Durch die Verwendung eines Software-Moduls fur jeweils eine 
Aufgabe wie Turzuhaltung, federkraftverriegelt, magnetkraftverriegelt oder Not-Aus 
konnen diese Funktionen auf der untersten Mikrocomputer- bzw. Prozessorebene 
programmiert werden, was die Transparenz und Fehlerfreiheit dieser Programmteile 
erhoht. 

Nachdem ein Anwender am Programmiergerat wie PC gewunschte Verknupfungen 
programmiert hat, wird das Anwenderprogramm uber die serielle Schnittstelle 88 an den 
Kanal A des Bus-Masters 12 ubertragen. Dabei werden folgende Daten ubertragen: 

- Modulart (Not-Aus, Turverriegelung ...)» 

- Adress-Eingange, 

- Adress-Ausgange und 

- Verzogerungszeiten. 

Kanal A des Bus-Masters 12 sendet die Datenteile invertiert liber den Link 86 zum 
Kanal B, dieser invertiert die Daten vollstandig zuriick und sendet diese direkt uber die 
serielle Schnittstelle 88 des Kanals A an das Programmiergerat zuriick. Im Program- 
miergerat liegt nun das nicht invertierte zuriickgelesene Anwenderprogramm und das 
invertierte gesendete Anwenderprogramm. Diese Daten werden im Programmiergerat 
verglichen. 
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Die Kanale des Bus-Masters vergleichen uber den Link 86 die empfangenen Daten des 
Anwenderprogramms. In dem jeweiligen Kanal werden diese Daten den entsprechenden 
Makros zugeordnet und in das Flash-Eprom 218 kopiert. Nachdem alle Daten iiber- 
tragen wurden, muss der Anwender durch Zuruckladen der angegebenen Parameter 
diese mit den aktuellen Parametern vergleichen. Durch Bestatigung dieser Handlung 
kann der Anwender sein Programm als Testlauf/Inbetriebnahme starten. Zusatzlichen 
bilden Programmiergerat und die jeweiligen Kanale A und B eine CRC liber die 
empfangenen/gesendeten Daten. Das Programmiergerat sendet als Abschluss seine CRC, 
die vom Kanal A und B verglichen werden. 

Im Folgenden sollen implementierte Uberwachungsfunktinen erlautert werden. Es sind 
implementierte Sicherungsverfahren bzw. Uberwachungsfunktionen auf Bus-Ebene, auf 
Protokoll-Ebene sowie auf Prozessor-Ebene vorgesehen. 

Implementierte Sicherungsverfahren auf Bus-Ebene wurden vorgesehen, indem von acht 
moglichen Daten-Bytes drei genutzt werden und in diesen ein aktueller Zahlerstand, ein 
aktueller invertierter Zahlerstand und ein Sicherungsbyte ubertragen wird. Jeder Kanal 
im Master besitzt die Information Uber die Zahlerstande jedes Moduls. Jede Station 
besitzt einen eigenen Zahler, dessen Spiegel im Master abgelegt ist. Die Zahler einer 
Station (Kanal A, Kanal B) sind unabhangig. 

Folglich liegt die Information des Zahlerstandes jeder Station viermal im Bus-Master 
vor (Kanal A Stationsebenen A, B; Kanal B Stationsebenen A, B). Das Sicherungsbyte 
enthalt die Informationen liber den Zustand der Ein-/Ausgange und ist jeweils in den 
Kanalen des Masters mit den jeweiligen Zahlerstanden abgelegt. Die Zahlerstande 
andern sich mit jedem Senden einer Nachricht/Statusmeldung. Das Sicherungsbyte kann 
- wenn keine Anderung der Aus-/Eingangszustande eintritt - konstant bleiben. Andert 
sich der Zahlerstand nicht, so wird ein interner Fehler angenommen und das Bus- 
System stillgesetzt. Das Senden der Statusmeldungen innerhalb der angegebenen 
Zeitfenster wird gemaB folgender Tabelle I uberwacht: 
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TABELLE I : 



Status gesendet von 


Uberwacht durch 


Zeitfenster/ms 


Master 


Busabschluss 


15 ms 




alle Stationen 


15 ms 


Busabschluss 


Master 


15 ms 




alle Stationen 


15 ms 


Stationen 


Master 


100 ms 



Die Zeitfenster ergeben sich aus folgenden Fehlerfall-Uberlegungen: 



1. Annahme, dass eine der Busleitungen 38, 40, 42, 44 durchtrennt ist 

Da die Busleitung nur einkanalig ist, wurde ein Durchtrennen dieser Leitung aus der 
Sicht des Bus-Masters 12 zunachst nicht bemerkt werden. Da die Bus-Abschluss-Station 
20 als letzte Station in dieser Kette sich zwangslaufig nicht mehr melden konnte, 
wurden dessen Statusmeldungen im Bus-Master 12 nicht mehr vorliegen. Die Reaktions- 
zeit des Gesamtsystems auf Erstfehler dieser Art muss mindestens der Fehlererken- 
nunaszeit traditioneller Sicherheitssysteme entsprechen. Legt man fur diese Sicherheits- 
betrachtungen Relaisbausteine zu Grunde, erkennt als aquivalenten Fehler die Durch- 
trennung der Versorgungsspannung an, so wUrde dieser Baustein im Idealfall in ca. 20 
ms abfallen. 

2. Annahme, dass ein Fehler des Kanals A der Station 16 vorliegt 

Der Defekt eines Kanals innerhalb einer Station, der ein Senden von Statusmeldungen 
unterdriickt. Da alle Stationen redundant aufgebaut sind, wurde ein Versagen eines 
Kanals innerhalb dieser Station nicht zum Verlust der Gesamtfunktion der Station 
fUhren. Urn ein sicherheitstechnisches Versagen der Station zu erreichen, miisste 
mindestens ein weiterer Fehler innerhalb derselben Station angenommen werden. Somit 
beschrankt sich die Aufdeckungszeit des ersten Fehlers auf die Zeit, welche angenom- 



WO 98/44399 



PCT/EP98/01814 



15 

men werden muss, in der der zweite Fehler mit entsprechenden Wahrscheinlichkeits- 
betrachtungen noch nicht eintreten wird. Die Zweitfehlereintrittszeit wurde mit < 1 h 
festgesetzt. 

3. Annahme, dass die Bus-Abschluss-Station einen Defekt aufweist 

Bei Defekt der Bus-Abschluss-Station 20 gelten die gleichen Uberlegungen wie mit 
Bezug zu Fehlerbeschreibung 1, namlich Durchtrennen der Busleitung. 

Um ein schnelles Abschalten von Ausgangen in einem Bus-System mit sicherheits- 
gerichteten Funktionen zu erreichen, ist vorrichtungsmaBig vorgesehen, dass die 
programmierbare Steuereinheit 62, 64 Uber ein Koppelelement mit dem Bus gekoppelt 
ist, wobei der programmierbaren Steuereinheit 62, 64 ein Speicherelement zugeordnet 
ist, in dem Informationen bzw. Nachrichteninhalte zum Aktivieren von Ausgangen 
und/oder Eingangen abgelegt sind, und wobei in Abhangigkeit eines Vergleichs der in 
dem Speicherelement abgelegten Informationen mit auf den Bus iibertragenen Signalen 
bzw. Informationen zumindest ein Eingang und/oder Ausgang aktivierbar ist. 

VerfahrensmaBig ist vorgesehen, dass eine Bus-Station in Abhangigkeit von einem an 
dem Eingang und/oder Ausgang anliegenden Signal eine Nachricht auf die Busleitung 
sendet, wobei die Nachricht von zumindest einer weiteren Bus-Station gelesen und mit 
fur die jeweilige Bus-Station zugeordneten Nachrichteninhalten verglichen wird, wobei 
bei Ubereinstimmung zwischen der Nachricht und dem zugeordneten Nachrichteninhalt 
eine Aktion wie z. B. Abschalten einer Freigabe durch die Bus-Station ausgefuhrt wird. 

Um dies zu ermoglichen, wird den jeweiligen Ausgangen vor Inbetriebnahme des 
Systems uber den Bus mitgeteilt, auf welche Nachrichteninhalte welche Freigabe 
geschaltet werden soli. Somit befinden sich in den Speichern der jeweiligen Ausgangs- 
station Tabellen, welche die Nachrichteninhalte, die zum Abschalten der jeweiligen 
Freigaben fiihren sollen, beinhalten. Die Funktion der ubergeordneten Steuerung bleibt 
bestehen. Es wird lediglich ein zusatzlicher Abschaltweg in das System integriert. 
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Die in den einzelnen Stationen in Speicherelementen abgelegten Abschalt- und/oder 
Einschalttabellen werden in einem Programmiergerat selbstandig generiert. Dabei 
werden jedem sicherheitsrelevanten Ausgang die Eingange zugeordnet, auf welche 
dieser beim Ausschalten reagieren soli. 1st ein Ausgang zum Beispiel von einem Not- 
Aus-Schalter und einem Kontakt einer Schutztiir abhangig, so wird diesem Ausgang 
eine UND-Funktion zugeordnet, welche direkt von den jeweiligen Eingangen abhangt. 

In Fig. 1 1 ist der logische Aufbau einer Abschalttabelle dargestellt. In dem dargestellten 
Ausfuhrungsbeispiel ist ein Ausgang Al von einem Signal Ml eines Not-Aus-Moduls 
252 sowie einem Ausgangssignal M2 eines Tur-Moduls 254 abhangig. Die Signale Ml, 
M2 werden einem UND-Glied 256 zugefuhrt, urn ein Freigabesignal fur den Ausgang 
Al zu aenerieren. 

Das Not-Aus-Modul 252 weist Eingange 258, 260, 270, 272 fur Eingangssignale El, E2 
"Ruckfiihrkreis", und "Start" auf. Das Tur-Modul 254 weist Eingange 274, 276, 278, 
280, 282, 284 fur Eingangssignale E3, E4, "Verriegeln", "Entriegeln", "Ruckfuhrkreis" 
und "Start" auf. Die beschriebene Abschalttabelle veranlasst ein direktes Abschalten des 
Ausgangs Al, wenn die Eingangsinformation El oder E2 oder E3 oder E4 nicht erfullt 
ist. 

Sendet eine Eingangsstation, dass ein Eingang geoffnet wurde, wird diese Information 
von alien Ausgangsstationen gelesen und mit der stationseigenen Abschalttabelle 
veralichen. Die Abschalttabelle hat nur Einfluss auf das Abschalten einer Freigabe. Das 
Setzen einer Freisabe kann nur von der Steuereinheit bzw. dem Bus-Master veranlasst 
werden. 

Nachdem ein Anwender die Einzelmodule bestatigt hat, generiert das Programmiergerat 
wie PC selbstandig eine Abschalttabelle und fiigt diese dem Ubertragungsprotokoll an. 

Die Abschalttabelle wird zunachst im Speicher der Steuerung abgelegt. AnschlieBend 
werden den jeweiligen Stationen die jeweiligen Abschalttabellen uber den Bus iiber- 
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mittelt. Die Stationen senden nach Erhalt der jeweiligen Abschalttabelle ein Echo der 
erhaltenen Daten, welches von der Steuerung bzw. dem Bus-Master tiberpruft wird. 

Haben beide KanSle einer Station die Abschalttabelle erhalten, fiihren diese einen 
internen Vergleich durch. Die Abschalttabellen in beiden Kanalen miissen gleich sein, 
da ansonsten keine Systemfreigabe erfolgt. 

Wird in dem Programmiergerat eine fehlerhafte Abschalttabelle generiert, so dass einem 
Ausgang die falsche Eingangsinformation zugeordnet wird, wird dieser Fehler wie folgt 
aufgedeckt: 

Eine Ausgangsstation, welche einen Ausgang aufgrund einer Anforderung zurucksetzen 
soil, wird mit vier unabhangigen Informationen zu folgenden Handlungen veranlasst: 

1. Abschalttabelle Kanal A 

2. Abschalttabelle Kanal B 

3. Abschaltung durch Master-Kanal A 

4. Abschaltung durch Master-Kanal B. 

Diese Informationen stehen in einer zeitlichen Abhangigkeit zueinander. Die Abschal- 
tung durch die Abschalttabellen muss immer schneller sein, als die Abschaltung durch 
die Steuerung bzw. den Bus-Master. Die Abschaltsequenzen miissen eingehalten 
werden, damit ein Reset nach einer Abschaltung moglich ist. Die Kanale in der jeweili- 
gen Ausgangsstation uberwachen sich gegenseitig auf die Korrektheit der Abschalts- 
equenzen. 

Die anwenderspezifischen Daten werden in dem Flash-Eprom gespeichert. Die Program- 
mierung des Flash-Eproms erfolgt Liber die serielle Schnittstelle 88. Mit Hilfe eines 
Schalters und/oder verschiedener Sicherungsmechanismen konnen die Anwenderdaten 
ubemommen werden. 
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Die Priifung des Flash-Eproms erfolgt mit Hilfe des oben beschriebenen CRC-Check. 
Die Priifsumme fur den CRC-Check wurde vom Anwender-PC erzeugt und mit der von 
der Master-Station unabhangig erzeugten Prufsumme verglichen. Nur wenn beide 
ubereinstimmen wird diese mit dem Flash-Eprom abgespeichert. 

Auch ist ein Selbsttest vorgesehen, wobei ein Registertest, ein Flag-Test, ein ALU-Test 
sowie ein Befehlssatztest vorgesehen ist. Fur die Tests ist ein Testprogramm vorgese- 
hen. 

Der Watchdog uberwacht die Selbsttestfunktionen und wird mit mehr als einem Trigger- 
punkt angesprochen. Er ist so ausgelegt, dass neben einem zu spaten Antriggern auch 
ein zu fruhes Antriggem bemerkt wird. 

Wird das Steuerungssystem in Betrieb genommen, beginnt es selbstandig mit einer In- 
itialisierungsphase. Die Bus-Master-Station 12 fordert alle angeschlossenen Stationen 14 
bis 20 auf, ihren Status zu senden. Sind alle internen Testverfahren wie REM, ROM, 
I/O, CPU abgeschlossen, werden die Ausgangsebenen freigegeben. Durch die Ver- 
wendung von fluchtigen Arbeitsspeichern und der Verwendung von Spannungsuber- 
wachungs IC's befindet sich das Gesamtsystem nach jedem Anlauf in seinem Ausgangs- 
zustand. 
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Anspriiche 

Verfahren zur Programmierung eines sicherheitsgerichteten Steuerungssystems 

1. Verfahren zur Programmierung eines sicherheitsgerichteten Steuerungssystems 
mit zentralen und/oder dezentralen Stationen, 

dadurch gekennzeichnet, 

dass sicherheitsgerichtete steuerungstechnische Regeln zur Verknupfung von 
Ein- und Ausgangssignalen in Form von Software-Makros in einer zentralen 
oder dezentralen Station (12-20) des Steuerungssystems abgelegt sind, wobei 
iiber ein Programmiergerat Befehle an die zentrale oder dezentrale Station 
iibertragen werden, uber die in den Software-Makros zusammengestellte Befehls- 
folgen zur Zuweisung von Ein- und Ausgangsinformationen aufgerufen werden. 

2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dass die Programmierung in Form einer Zuweisung von Ein- und Ausgangs- 
informationen erfolgt. 

3. Verfahren nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, 

dass die Zuweisung von Ein- und Ausgangsinformationen uber Parameter 
erfolgt, die von dem Programmiergerat an die Software-Makros aufweisende 
Station iibertragen werden, wobei eine Verifizierung des sicherheitsgerichteten 
Steuerungsprogramms durch ein Rucklesen der programmierten Ein-/Ausgangs- 
parameter und ihrer Riickbestatigung am Dateneingabegerat erfolgt. 



WO 98/44399 ' 



PCT/EP98/01814 



20 

4. Verfahren nach einem oder mehreren der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass zur Erzeugung der Parameter Parametrier-Masken zur steuerungstechni- 
schen Verkniipfung von Ein- und/oder Ausgangssignalen vorgesehen sind. 

5. Verfahren nach einem oder mehreren der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Software-Makros in einer Bus-Master-Station (12), vorzugsweise Bus- 
Anfangs-Station hinterlegt werden. 

6. Verfahren nach einem oder mehreren der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die abgelegten Software-Makros bzw. Makro-Befehle als kleine Programm- 
teile ausgefiihrt sind. 

7. Verfahren nach einem oder mehreren der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass die Dateniibertragung zwischen dem Programmiergerat und der die Softwa- 
re-Makros aufweisenden Station iiber eine serielle Schnittstelle wie RS-232- 
Schnittstelle erfolgt. 
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